數(shù)億臺(tái)支持谷歌 Fast Pair 協(xié)議的藍(lán)牙耳機(jī)，突然變成可能被人操控的遠(yuǎn)程追蹤器。

比利時(shí)荷語(yǔ)魯汶大學(xué)團(tuán)隊(duì)曝光的 WhisperPair 高危漏洞，把索尼、小米、JBL 這些大牌拉進(jìn)了安全信任危機(jī)。從 15 秒劫持耳機(jī)，到數(shù)億設(shè)備面臨風(fēng)險(xiǎn)，這一事件并非簡(jiǎn)單的技術(shù)疏忽，而是物聯(lián)網(wǎng)行業(yè)為了追求方便，過(guò)于輕視安全的一道縮影。

在高度數(shù)字化的世界，過(guò)去那種頭痛醫(yī)頭、腳痛醫(yī)腳的方式早已行不通了，需要拉起一道更堅(jiān)固的物聯(lián)網(wǎng)安全防線。

01

為了省事，安全防線被擊穿

WhisperPair 漏洞爆發(fā)的核心問(wèn)題是部分方案開發(fā)商在實(shí)際應(yīng)用中，未能將谷歌 Fast Pair 協(xié)議的安全規(guī)范落實(shí)到位。

作為谷歌推出的低功耗藍(lán)牙快速配對(duì)功能，F(xiàn)ast Pair 最大的好處是讓連接更省事——耳機(jī)一靠近手機(jī)就能被識(shí)別，輕輕一點(diǎn)就能連上，不用輸密碼，還能幫手機(jī)省點(diǎn)電。得益于這份便捷，它成了海外大多數(shù)品牌藍(lán)牙耳機(jī)的標(biāo)配，很快覆蓋了數(shù)億臺(tái)設(shè)備。

根據(jù) Fast Pair 協(xié)議規(guī)定，耳機(jī)一旦和手機(jī)連上，就該拒絕其他所有新的配對(duì)請(qǐng)求，相當(dāng)于形成一道“一對(duì)一”的安全屏障。然而，魯汶大學(xué)的測(cè)試結(jié)果卻讓人揪心：10 個(gè)品牌的 17 款耳機(jī)，全都沒(méi)遵守這項(xiàng)規(guī)則，給黑客留下可乘之機(jī)。

黑客只需借助一臺(tái)不到 500 塊的樹莓派設(shè)備，在 14 米范圍內(nèi)，拿到耳機(jī)的型號(hào) ID 并偽裝成合法請(qǐng)求，15 秒內(nèi)就能悄無(wú)聲息地劫持耳機(jī)，整個(gè)過(guò)程用戶毫無(wú)察覺(jué)，隱蔽性極強(qiáng)。

這個(gè)漏洞的危害比單純的泄露信息更為嚴(yán)重。黑客連上耳機(jī)后，不光能隨便控制聲音播放，還能偷偷竊聽。更讓人擔(dān)憂的是，如果你的耳機(jī)只連過(guò) iPhone，沒(méi)綁定谷歌賬號(hào)，黑客還能強(qiáng)行把耳機(jī)綁到自己的谷歌賬號(hào)上，再借助谷歌的 Find Hub 定位功能，實(shí)時(shí)跟蹤你的位置，做到竊聽和盯梢兩不誤。

這種低成本、高危害的攻擊方式，很容易被不法分子利用。目前，還無(wú)法確定，這個(gè)漏洞有沒(méi)有被人實(shí)際濫用過(guò)，風(fēng)險(xiǎn)卻一直懸在頭頂。

02

強(qiáng)化意識(shí)，防護(hù)提升降風(fēng)險(xiǎn)

Fast Pair 之所以能快速普及，關(guān)鍵在于免費(fèi)開放給廠商使用，從而快速吸引大批品牌，坐穩(wěn)了物聯(lián)網(wǎng)連接領(lǐng)域的話語(yǔ)權(quán)。但協(xié)議落地后的安全問(wèn)題，卻被相關(guān)方不同程度地忽視了。

谷歌 Fast Pair 協(xié)議本身內(nèi)置了基于公鑰加密（ECC）的設(shè)備身份認(rèn)證流程，協(xié)議要求配對(duì)時(shí)，耳機(jī)端需向手機(jī)端發(fā)送設(shè)備唯一標(biāo)識(shí)符（UID）和數(shù)字證書，手機(jī)端驗(yàn)證證書有效性后，再發(fā)起配對(duì)請(qǐng)求。根據(jù)安全規(guī)范，方案設(shè)計(jì)方需要在固件中寫入強(qiáng)制校驗(yàn)邏輯：只有證書驗(yàn)證通過(guò)的設(shè)備，才能進(jìn)入配對(duì)流程。

Fast Pair 協(xié)議中定義了兩個(gè)角色：Seeker 和 Provider。站在 Bluetooth LE的角度，Master 或 Central 通常是手機(jī)，作為 Seeker；Slave 或 Peripheral 通常是設(shè)備，作為 Provider。Provider 廣播，Seeker 掃描。

圖：Fast Pair 協(xié)議原理（來(lái)源：谷歌官方）

Seeker（如手機(jī)）掃描到支持 GFPS 的設(shè)備后，會(huì)彈框（half page notification）。用戶確認(rèn)連接后，建立 Bluetooth LE 連接。連接過(guò)程中交互信息，并建立 Google account 和設(shè)備之間的關(guān)聯(lián)(設(shè)備將獲得并存儲(chǔ) account key )。這個(gè)建立關(guān)聯(lián)的過(guò)程，也就是實(shí)質(zhì)意義上的谷歌 Fast Pair。

在設(shè)備工作時(shí)，F(xiàn)ast Pair 協(xié)議依賴藍(lán)牙低功耗廣播包傳輸設(shè)備信息，部分開發(fā)商為了提升配對(duì)速度，將 UID、設(shè)備型號(hào)等敏感信息以明文形式寫入廣播包，給攻擊者提供了可乘之機(jī)。同時(shí)，為了簡(jiǎn)化固件邏輯、提升多設(shè)備切換的用戶體驗(yàn)，一些方案開發(fā)商直接刪除了“連接鎖定” 的代碼模塊。

Fast Pair 協(xié)議為了防止惡意設(shè)備偽造配對(duì)請(qǐng)求，內(nèi)置了基于 ECC 公鑰加密的雙向身份認(rèn)證流程，協(xié)議要求標(biāo)準(zhǔn)流程為：首先，耳機(jī)端廣播加密后的設(shè)備唯一標(biāo)識(shí)符（UID）和廠商數(shù)字證書；手機(jī)端接收廣播后，先驗(yàn)證證書的合法性，再驗(yàn)證 UID 的唯一性；認(rèn)證通過(guò)后，雙方協(xié)商生成臨時(shí)會(huì)話密鑰，再建立連接。

然而，在實(shí)際落地過(guò)程中，多數(shù)廠商直接跳過(guò)了證書校驗(yàn)步驟，耳機(jī)廣播的 UID 和設(shè)備信息以明文形式傳輸，黑客通過(guò)掃描便能輕松獲取，進(jìn)而偽造出 “合法” 的配對(duì)請(qǐng)求 。

部分方案開發(fā)商認(rèn)為證書生成、存儲(chǔ)和校驗(yàn)需要額外的硬件支持（如安全芯片），會(huì)增加耳機(jī)的成本和開發(fā)難度；同時(shí)，證書校驗(yàn)會(huì)延長(zhǎng)配對(duì)時(shí)間，影響用戶體驗(yàn)。盡管這在一定程度上是事實(shí)，但這個(gè)問(wèn)題也并非無(wú)法解決，采用從設(shè)計(jì)階段就考慮全生命周期安全的Soc產(chǎn)品就可以解決這個(gè)問(wèn)題，通常來(lái)說(shuō)，安全Soc會(huì)具備更完善的安全機(jī)制、獨(dú)立的加密模塊和更全面的算法支持，它能夠提供硬件級(jí)的防護(hù)，全方位地保障數(shù)據(jù)安全。

普通藍(lán)牙芯片的安全防護(hù)多為軟件層面的簡(jiǎn)易設(shè)計(jì)，加密運(yùn)算依賴主芯片，還會(huì)占用產(chǎn)品核心功能的算力，有可能導(dǎo)致卡頓。而安全藍(lán)牙 SoC 擁有獨(dú)立的加密引擎，并不占用主芯片算力，從而避免了對(duì)產(chǎn)品核心功能的干擾。

WhisperPair 漏洞導(dǎo)致耳機(jī)麥克風(fēng)面臨被劫持竊聽、設(shè)備被用于位置追蹤的風(fēng)險(xiǎn)，而使用安全藍(lán)牙 SoC 能將密鑰等核心信息固化在硬件存儲(chǔ)區(qū)，且支持 RSA、AES、SM2、SM3 和 SM4 多種加密算法，大幅降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

珈港科技致力于物聯(lián)網(wǎng)安全技術(shù)迭代，推出了 JC511、JC521、JC571 等系列連接安全 Soc 產(chǎn)品。作為 Find My & Find Hub 生態(tài)的重要參與者，珈港科技基于 安全藍(lán)牙 Soc 產(chǎn)品為 OEM 和品牌客戶提供全生命周期安全的 Find My & Find Hub 解決方案，覆蓋從方案設(shè)計(jì)、預(yù)測(cè)試到量產(chǎn)上市的每一個(gè)重要節(jié)點(diǎn)，全方位賦能品牌廠商，快速構(gòu)建 Find My & Find Hub 產(chǎn)品。

以 JC511 安全藍(lán)牙 Soc 為例，珈港科技 JC511 安全藍(lán)牙 Soc 率先獲得 Apple 和 Google 的雙重認(rèn)證，配置了 32-bit 安全處理器，最高主頻 96MHz，提供 64KB SRAM，可選 256KB/512KB Flash，具備獨(dú)立高安全模塊，支持多種安全算法。JC511 安全藍(lán)牙 Soc 憑借在低功耗與安全性能上的突出優(yōu)勢(shì)，為 Find My & Find Hub 設(shè)備提供強(qiáng)勁續(xù)航和全生命周期安全保障，無(wú)論是防丟器、智能穿戴設(shè)備還是各類智能家居產(chǎn)品，JC511 安全藍(lán)牙 Soc 都能無(wú)縫適配，助力用戶輕松享受 Find My & Find Hub 帶來(lái)的智能尋物體驗(yàn)。

關(guān)于珈港

珈港科技是科創(chuàng)板首批上市、國(guó)際領(lǐng)先的紅外芯片企業(yè)睿創(chuàng)微納旗下的安全芯片專業(yè)子公司，是國(guó)密SM2算法的第一發(fā)明人單位。

珈港科技總部位于山東煙臺(tái)，在武漢、北京和深圳設(shè)有全資子公司。 依托國(guó)際一流水平的片上資產(chǎn)保護(hù)、密碼算法和安全認(rèn)證技術(shù)，珈港科技自主研發(fā)了一系列的安全MCU、安全SoC、物聯(lián)網(wǎng)操作系統(tǒng)及云中間件等產(chǎn)品，為國(guó)內(nèi)外客戶提供先進(jìn)的智能家居、工業(yè)控制和物聯(lián)網(wǎng)解決方案。